检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
OpenKruise插件版本发布记录 CCE会定期发布OpenKruise插件,进行特性更新、性能优化和BUG修复,以提升用户体验和系统稳定性。为了方便您能够体验最新功能、规避已知漏洞或问题,并保障业务的安全性和可靠性,建议定期升级至最新版本的OpenKruise插件。 表1 OpenKruise插件版本记录
户被授予的策略中必须包含允许“ecs:servers:list”的授权项,该接口才能调用成功。 IAM支持的授权项 策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应,授权项列表说明如下:
认证要高。 Token认证 Token的有效期为24小时,需要使用一个Token鉴权时,可以先缓存起来,避免频繁调用。 Token在计算机系统中代表令牌(临时)的意思,拥有Token就代表拥有某种权限。Token认证就是在调用API的时候将Token加到请求消息头,从而通过身份认证,获得操作API的权限。
CCE服务会自动创建“CCE-Cluster-ID=<集群ID>”、“CCE-Cluster-Name=<集群名称>”、“CCE-Namespace=<命名空间名称>”的系统标签,您无法自定义修改。 说明: 专属存储类型的动态存储卷创建完成后,不支持在CCE侧更新资源标签。如需更新专属存储的资源标签,请前往专属存储控制台。
)组成,长度范围1-56位,且不能以中划线(-)结尾。 取值范围: 不涉及 默认取值: 不涉及 policyId String 参数解释: 权限ID。 约束限制: 系统自动生成,该值不可修改。 取值范围: 不涉及 默认取值: 不涉及 clusters Array of strings 参数解释: 集群ID
登录CCE控制台,单击集群名称进入集群详情页。 在左侧导航栏中选择“配置中心”,并切换至“监控运维配置”页签,开启“系统预置采集”功能。 单击“采集配置 > 系统预置采集”中的“管理”按钮。 打开fluent-bit任务的启用开关。 编辑白名单,添加fluentbit_input
基于ELB监控指标的弹性伸缩实践 应用现状 在使用工作负载弹性伸缩时,Kubernetes默认提供基于CPU/内存等资源使用率指标进行伸缩。但是在流量突发的场景下,基于CPU/内存使用率资源使用率数据会滞后于ELB流量指标,无法及时反映应用实际需求。因此,对于某些需要快速弹性扩缩
略。 单击上方“创建日志采集策略”,勾选“采集插件日志(NGINX Ingress控制器容器标准输出)”,单击确定。 图3 创建日志策略 系统将自动创建名为default-nginx-ingress的日志采集策略。创建完成后,您可前往“日志中心”页面,选择“插件日志”页签,即可查
节点kube-proxy故障 CCE 节点异常立即触发告警 登录集群查看告警节点状态,确认异常后,优先将此节点设置为不可调度,并将业务pod调度到其他节点 节点操作系统内核故障 CCE 节点异常立即触发告警 登录集群查看告警节点状态,确认异常后,优先将此节点设置为不可调度,并将业务pod调度到其他节点 节点的连接跟踪表已满
创建节点时使用OBS桶实现自定义脚本注入 应用现状 对于需要在节点上提前安装一些工具或者做用户自定义的安全加固等操作时,需要在创建节点的时候注入一些脚本。CCE创建节点提供了Kubernetes安装前和安装后两处注入脚本的功能。但是使用通常碰到如下限制: 注入脚本的字符有限。 各
容器监控的内存使用率与实际弹性伸缩现象不一致 问题现象 容器监控的内存使用率与实际弹性伸缩现象不一致,例如容器内存使用率在界面上显示为40%左右,而HPA设置缩容阈值为70%,但界面上显示的内存使用率低于HPA阈值后并没有发生缩容。 问题根因 界面上显示的容器内存使用率与HPA弹
网络概述 CCE集群网络架构基于Kubernetes原生网络模型,结合华为云的基础设施能力,构建了覆盖节点、容器、服务三层的立体化通信体系。其核心目标是实现集群内/外流量的高效转发、服务发现与网络隔离,支持从中小型应用到大规模微服务架构的全场景需求。 您可以从如下角度了解集群网络:
一个集群最多能创建多少个命名空间? 在Kubernetes集群中并没有明确的硬性限制来规定一个集群中可以创建的命名空间数量,但在实际使用过程中,可创建命名空间的数量会受到一些其他因素的限制。 资源限制 对于CCE集群来说,集群的规模越大,集群控制平面节点的资源也会相对变大,能够支
节点滚动升级 操作场景 节点滚动升级就是先创建新节点,然后将工作负载迁移到新的节点上,再删除旧节点。迁移流程如图1所示。 图1 节点迁移流程 约束与限制 现有节点和工作负载待迁移的节点必须在同一集群。 当前仅支持在Kubernetes v1.13.10及以后集群版本执行此操作。
升级管控检查异常处理 检查项内容 检查集群是否处于升级管控中。 解决方案 CCE基于以下几点原因,可能会暂时限制该集群的升级功能: 基于用户提供的信息,该集群被识别为核心重点保障的生产集群。 正在或即将进行其他运维任务,例如控制节点3AZ改造等。 集群中存在容器引擎为Docker
容器垂直弹性引擎版本发布记录 CCE会定期发布容器垂直弹性引擎插件,进行特性更新、性能优化和BUG修复,以提升用户体验和系统稳定性。为了方便您能够体验最新功能、规避已知漏洞或问题,并保障业务的安全性和可靠性,建议定期升级至最新版本的容器垂直弹性引擎插件。 表1 容器垂直弹性引擎版本记录
)组成,长度范围1-56位,且不能以中划线(-)结尾。 取值范围: 不涉及 默认取值: 不涉及 policyId String 参数解释: 权限ID。 约束限制: 系统自动生成,该值不可修改。 取值范围: 不涉及 默认取值: 不涉及 clusters Array of strings 参数解释: 集群ID
IPv4私网地址检查异常处理 检查历史升级记录是否满足升级条件 检查集群管理平面网段是否与主干配置一致 CCE AI套件(NVIDIA GPU)插件检查异常处理 节点系统参数检查异常处理 残留packageversion检查异常处理 节点命令行检查异常处理 节点交换区检查异常处理 NGINX Ingress控制器插件升级检查异常处理
容器镜像签名验证插件版本发布记录 CCE会定期发布容器镜像签名验证插件,进行特性更新、性能优化和BUG修复,以提升用户体验和系统稳定性。为了方便您能够体验最新功能、规避已知漏洞或问题,并保障业务的安全性和可靠性,建议定期升级至最新版本的容器镜像签名验证插件。 表1 swr-cosign插件版本记录
加密云硬盘存储卷 云盘加密功能适用于需要高安全性或合规性要求的应用场景,可以保护数据的隐私性和自主性。本文将为您介绍如何使用数据加密服务(DEW)中管理的密钥对云盘存储卷数据进行加密。 前提条件 您已经创建好一个集群,并且在该集群中安装CCE容器存储(Everest)。 已在数据
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
